Terminologies et principes

Avant d’envisager la sécurité dans le contexte du Cloud, nous devons donner les définitions de base et établir les faits en lien étroit avec les domaines de sécurité :

 Sécurité de l’information. Ce terme fait référence à un domaine vaste qui concerne la protection des informations et des systèmes informatiques. Les racines

historiques de la sécurité de l’information plongent dans le chiffrement, le subterfuge et d’autres pratiques dont l’objectif était de protéger la confidentialité des messages écrits. La sécurité de l’information inclut généralement des domaines qui sont impliqués dans la sécurité des systèmes d’information ainsi que les processus non informatique qui interagissent avec les systèmes d’information. L’objectif est de protéger les informations et les systèmes d’information contre les accès, les utilisations, les divulgations, les interruptions, les modifications ou les destructions non autorisés

 Sous domaine de la sécurité de l’information. Nous trouvons parmi ces sous- domaines la sécurité de l’ordinateur, la sécurité du réseau, la sécurité de la base de données et la sécurité de l’information. Pour la sûreté de l’information. Pour la sécurité du Cloud, nous aborderons le domaine de la sécurité des données stockées dans un environnement Cloud.

 Confidentialité, intégrité et disponibilité. L’objectif général de la sécurité peut être réduit à la triade : protéger la confidentialité, l’intégrité et la disponibilité des informations. Voici les définitions données par le FISMA (Federal information

security Management Act) :

o Confidentialité. Maintenir les restrictions autorisées sur l’accès et la divulgation des informations, y compris les moyens de protéger la vie privée et les informations propriétaires… Une perte de la confidentialité est une divulgation non autorisé des informations.

o Intégrité. Protéger contre une modification ou une destruction impropre des informations, et inclure une garantie de non répudiation et d’authenticité des informations … une perte d’intégrité est une modification ou une destruction non autorisé des informations.

o Disponibilité. Garantir un accès opportun et fiable aux informations et à leur utilisation… une perte de disponibilité est une interruption de l’accès à l’information ou à son utilisation ou au système d’information.

 Principe du moindre privilège. Les utilisateurs ou les processus qui travaillent pour leur compte doivent opérer avec des privilèges minimaux. Cela dans le but d’éviter une utilisation généralisée des privilèges ou de droits d’accès à l’intérieur des systèmes d’information.

 Authentification. Les moyens d’établir l’identité d’un utilisateur, généralement en présentant des informations d’identification comme un nom d’utilisateur et un mot de passe. Il existe de nombreux mécanismes, comme les systèmes biométriques et

les certificats. La gestion des identités peut devenir très complexe sur de nombreux points.

 Autorisation. Les droits ou les privilèges qui sont accordés à une personne, un utilisateur ou un processus. Leurs versions électroniques peuvent prendre plusieurs formes. les listes de contrôles d’accès (ACL) sont de simple liste d’utilisateurs accompagnées de leurs droits comme écriture, lecture modification, suppression ou exécution sur des ressources ou de classe de ressources spécifiques.

 Cryptographie. Le chiffrement correspond au processus de conversion des informations en texte clair en un texte codé, le déchiffrement est l’opération inverse. La cryptographie informatique moderne se mesure en plusieurs dimensions. Elle demande des ressources de calcul importantes, mais, en général, plus l’algorithme est résistant, plus le surcoût est élevé. La cryptographie présente bien d’autres usages en informatique, par exemple les signatures numériques, grâce auxquelles un individu ou une entité peut authentifier des données en les signant. Cela peut également servir à authentifier deux parties ou plus qui communiquent. on va détailler ces notions dans les chapitres qui suivent.

 Audit. Ce sujet comprend différentes activités qui englobent la génération, la collecte et l’analyse d’évènements du réseau, d’un système et d’une application de manière à maintenir une vue actuelle sur la sécurité. La surveillance de la sécurité informatique se fonde sur une estimation automatisée de ces données d’audit. Il se focalise sur les contrôles de sécurité, les procédures de la sécurité, les procédures de sauvegarde, les plans de secours, la sécurité du Datacenter et d’autres domaines.  Traçabilité. L’objectif est de déterminer a posteriori qui fait quoi, quand et

comment. La traçabilité dépend de l’identité et de l’audit. Si ce point est important, nous devons protéger de manière appropriée toutes les données et contrôler les informations utilisées pour accorder les accès, sans oublier d’en faire un audit. En fonction des besoins, des exigences règlementaires et d’autres demandes générales, nous placerons plus ou moins d’emphase sur les contrôles de sécurité de manière à assurer la confidentialité, l’intégrité et la disponibilité. Autrement dit, selon le domaine dont lequel nous travaillons (banque, finance, recherche et développement, gouvernement, défense, etc.), nos besoins de sécurité du Cloud varieront. Une solution de sécurité est un assemblage qui peut être difficile ou facile à vérifier, qui peut afficher une simplicité d’utilisation bonne ou mauvaise et qui peut ou non introduire une configuration et une gestion constantes. La figure 2.1 illustre ces relations.

Figure 2.1 : Sécurité : principe et qualité

La sécurité implique des compromis. Autrement dit, les contrôles doivent être à la mesure de la valeur à protéger. Puisque toutes les menaces et les vulnérabilités ne seront pas connues à l’avance, nous expliquons parfois que la sécurité à trois objectifs indépendants : prévention, détection et réponse. En production, nous ferons des économies du coût si nous protégeons contre les risques de sécurité au lieu de répondre perpétuellement aux incidents de sécurité qui auraient pu être évités.